Uso de Exploits de Día Cero para Desbloquear Teléfonos Android de Activistas Serbios

Uso de Exploits de Día Cero para Desbloquear Teléfonos Android de Activistas Serbios
Tecnología Autor: Condorsoft

Un reciente informe de Amnistía Internacional ha revelado que un joven activista serbio de 23 años fue víctima de un sofisticado ataque cibernético en su teléfono Android. Este ataque fue ejecutado mediante un exploit de día cero desarrollado por la empresa Cellebrite para desbloquear el dispositivo.

El término "exploit de día cero" se refiere a vulnerabilidades en software que son explotadas antes de que el desarrollador tenga conocimiento de ellas, lo que no permite que existan parches o soluciones disponibles en el momento del ataque. En este caso, el exploit dirigido al teléfono del activista aprovechó una cadena de vulnerabilidades en los controladores USB de Android, específicamente una vulnerabilidad de escalada de privilegios en un componente del kernel llamado controlador de clase de video USB (UVC), identificado como CVE-2024-53104 con una puntuación CVSS de 7.8.

La vulnerabilidad fue corregida en el kernel de Linux en diciembre de 2024 y se abordó en Android a principios de este mes. Sin embargo, el exploit fue aún más complejo, ya que se cree que combinó esta vulnerabilidad con otras dos: CVE-2024-53197, que es una vulnerabilidad de acceso fuera de límites para dispositivos Extigy y Mbox, y CVE-2024-50302, un fallo que permite el uso de un recurso no inicializado, lo cual podría llevar a la fuga de memoria del kernel. Ambas vulnerabilidades también han sido solucionadas en el kernel de Linux, pero todavía no se han incluido en un Boletín de Seguridad de Android.

El ataque permitió a los clientes de Cellebrite, que tenían acceso físico al dispositivo Android bloqueado, eludir la pantalla de bloqueo del teléfono y obtener acceso privilegiado al dispositivo. Esto ilustra cómo los atacantes en el mundo real están explotando la superficie de ataque USB de Android, aprovechándose de la amplia gama de controladores USB heredados soportados en el kernel de Linux.

El activista afectado, conocido con el pseudónimo "Vedran" para proteger su identidad, fue llevado a una comisaría de policía y su teléfono fue confiscado el 25 de diciembre de 2024, después de asistir a una protesta estudiantil en Belgrado. El análisis realizado por Amnistía reveló que se utilizó el exploit para desbloquear su Samsung Galaxy A32, y que las autoridades intentaron instalar una aplicación Android desconocida, lo cual es consistente con los métodos operativos de infecciones anteriores del spyware NoviSpy reportadas a mediados de diciembre de 2024.

Recientemente, Cellebrite ha declarado que sus herramientas no están diseñadas para facilitar ningún tipo de actividad cibernética ofensiva y que trabaja activamente para frenar el mal uso de su tecnología. Además, la compañía israelí ha anunciado que ya no permitirá que Serbia use su software, afirmando que "consideramos apropiado detener el uso de nuestros productos por parte de los clientes relevantes en este momento".